Microsoft Edge browserul pare să aibă o vulnerabilitate severă a parolei. Rapoartele recente arată că atacatorii sau hackerii ar putea obține cu ușurință parola utilizatorului și fișierele cookie pentru conturile online, o vulnerabilitate care a fost descoperit de expertul în securitate Manuel Caballero, cineva cu o vastă experiență în dezgroparea bugurilor Edge și Internet Explorer și defecte.
Atacatorii pot ocoli protecția SOP Edge
Vulnerabilitatea permite unui atacator să încarce și să execute coduri rău intenționate folosind URI-uri de date, etichetă de reîmprospătare și pagini fără domeniu, cum ar fi despre: gol. Această tehnică de exploatare are multe variante, iar Caballero a arătat modalitățile prin care un hacker ar putea executa cod pe site-uri de profil înalt doar înșelând utilizatorii să acceseze un URL rău intenționat.
Caballero a arătat trei demonstrații în care a executat codul pe Pagina de pornire Bing, a trimis un tweet în numele altui utilizator și a furat parola și fișierele cookie de la un Cont Twitter.
Ultimul atac a expus din nou o eroare de securitate în proiectarea browserelor moderne: capacitatea hackerilor de a deconectați un utilizator, încărcați o pagină de conectare și furați acreditările utilizatorului completate automat de browserului completarea automată a parolei caracteristică.
Vulnerabilitatea este încă necorespunzătoare. Din acest motiv, Caballero a furnizat demonstrații pentru descărcare, astfel încât utilizatorii să poată inspecta codul sursă și să se asigure că parolele și cookie-urile lor nu sunt încărcate nicăieri.
Atacurile sunt automatizate prin publicitate greșită
De asemenea, se pare că atacurile pot fi personalizate pentru a elimina parolele sau cookie-urile mai multor servicii online, cum ar fi Amazon, Facebook și multe altele. Numai Margine este afectat deoarece „Ocolirile UXSS / SOP tind să fie specifice fiecărui browser.”
Se difuzează reclame moderne Cod JavaScript browserelor și acesta este motivul pentru care atacatorii pot facilita campaniile de publicitate publicitară pentru a automatiza livrarea acestui exploit către o cantitate imensă de victime.
Pentru mai multe informații, puteți citiți descrierea tehnică a lui Caballero a numărului.
Povești corelate de verificat:
- Acesta este motivul pentru care noua versiune a Microsoft Edge nu impresionează utilizatorii
- Activați ecranul complet pe Microsoft Edge cu această comandă simplă
- Măriți Microsoft Edge cu această nouă extensie